Хакеры украли $625 млн при взломе криптоигры Axie Infinity благодаря фейковому предложению о работе — The Block Статьи редакции

Инженер компании попался на обман, ответил на вакансию в несуществующей компании и получил оффер с вредоносным ПО.

  • В марте 2022 года хакеры атаковали сайдчейн Ronin, который используется в игре Axie Infinity, и украли около $625 млн в криптовалюте. Правительство США позже связало инцидент с северокорейской хакерской группой Lazarus, но не сообщило о деталях расследования.

  • По данным источников The Block, злоумышленники смогли украсть деньги, заразив вирусом компьютер одного из инженеров. Вредоносное ПО оказалось внутри оффера от фиктивной компании.
  • Предложения о работе рассылали сотрудникам Sky Mavis (разработчик Axie Infinity) от имени фейковой фирмы через LinkedIn. Один из инженеров заинтересовался предложением. После нескольких раундов собеседований ему предложили работу с «чрезвычайно щедрым компенсационным пакетом».

  • Фальшивый оффер отправили в виде PDF-документа. После того, как инженер его скачал и открыл, шпионское ПО проникло в системы Ronin. Оттуда хакеры смогли атаковать и захватить четыре из девяти валидаторов, защищавших сеть.
  • Ещё в апреле Sky Mavis отмечала, что её команда постоянно подвергается продвинутым фишинговым атакам в соцсетях, и признавала, что одного из сотрудников всё же скомпрометировали. Однако компания не раскрывала подробностей и не упоминала, как именно кто-то мог повестись на уловки мошенников.

  • Cредства из Ronin могут вывести, если пять из девяти валидаторов это одобрят, рассказывала компания Elliptic, анализирующая блокчейны. Хакеры завладели закрытыми криптографическими ключами, принадлежащими пяти валидаторам, чего было достаточно для кражи активов.
  • Однако изначально хакеры имели контроль лишь над четырьмя валидаторами — доступ к пятому они получили через Axie DAO, децентрализованную автономную организацию, созданную для поддержки игровой экосистемы.

Скриншот Axie Infinity
0
96 комментариев
Написать комментарий...
Мимопрохожий

pdf-файл может содержать вирус? отстал я от жизни :(

Ответить
Развернуть ветку
Илья Осипов

в pdf, zip, docx и xlsx можно засунуть что угодно. И оно еще и запустится без спроса, само. Либо просто вчплывёт стандартное вордовское окошко с каким-то там текстом и кнопками "да"/"отмена" и очевидно почти все не глядя жмут "да"

а многие другие форматы могут только с виду казаться тем, что написано. Например, обычный джипег при двойном клике по нему может оказаться архивом, который уже пускает червей, пока ты ждешь, когда картинка откроется...

Страшно жить, если боишься быть взломанным... лучше вообще интернет отключить и все дырки в компьютере строительной пеной запенить.

Ответить
Развернуть ветку
Мимопрохожий

У doc\xls если отключен запуск скриптов - разве что-то выполнится?
А что внутре у файла ххх.pdf может быть опасное, тоже скрипты какие-то?

Ответить
Развернуть ветку
Denis Bystruev

Да, в PDF есть функционал «fill & sign» — когда вы должны заполнить выделенные поля и подписать документ. Там внутри обычный JavaScript.

Чтобы вирус не сработал, нужен либо очень старый PDF viewer, который этот функционал не поддерживает, либо новый, который знает о вирусах. Но есть целый ряд просмотрщиков, которые функционал поддерживают, а на вирусы не проверяют.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
DN

Браузер по дефолту блочит активное содержимое.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Lmao

ты пишешь

чего ожидать от браузеров? Они точно подхватят любые скрипты и запустят.

это утверждение, причем неверное

Ответить
Развернуть ветку
DN
Они точно подхватят любые скрипты и запустят.

Вот это бред

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Lmao

просмотр pdf через браузеры (хром, фаерфокс) как раз таки безопасен. Насчёт IE, edge - не знаю.
А старые просмотрщики имеют нефикшенные бекдоры .

Ответить
Развернуть ветку
Roman Pesterev

Любое активное содержимое опасно, pdf изначально поддерживал активные формы (их заполнение и отправку на сервер), то есть допустим приходит вам анкета от отдела кадров и в ней нужно указать свои данные и нажать кнопку «отправить», сейчас такое мало кто использует, хотя крупные компании мб используют.
В doc/xls может быть какая-то уязвимость в определенных версиях, либо ссылка на сайт со скриптами.
Также часто еще бывает, что в почту приходит файл .exe у которого иконка pdf либо другого файла, а на конце счет-фактура.pdf.exe и кто-то невнимательный может открыть такое.

Ответить
Развернуть ветку
Мимопрохожий

Страх-то какой :) только .тхт, только хардкор

Ответить
Развернуть ветку
Юрий Другач

Это смотря чем .txt открывать будете :) https://www.linux.org.ru/forum/talks/13316199

Ответить
Развернуть ветку
Мимопрохожий

да песец, я ж им пользовался.
Теперь вот думай-гадай - а нет ли чего скрытого в дефолтном виндовом Блокноте :)

Ответить
Развернуть ветку
Юрий Другач

ага, даже в защитных системах есть дыры, а тут блокнот)

Ответить
Развернуть ветку
Илья Осипов

нет, это как раз тот юзкейс, о котором я говорил:

просто вчплывёт стандартное вордовское окошко с каким-то там текстом и кнопками "да"/"отмена" и очевидно почти все не глядя жмут "да"

Сначала так было, были вирусы на VBA. Потом сделали более секюрно, чтобы включить — нужно было прямо запариться. Специально так делали, чтобы подавить вирусню. Но недавно почему-то вернули как было, просто "да" в окошке. Теперь исполнение скриптов активируется сполпинка, и если не смотреть на какие всплывающие "да" по-привычке нажимаешь — можно влететь в вирус :)

Ответить
Развернуть ветку
Мимопрохожий

ну с этим я знаком, да, отключено у меня. И отображение имен файлов выставлено "с расширениями". Но вот пдф - прям неприятненько шокирован :)
И там же в новости вроде бы ИТшник полноценный, плюс антивирус наверное какой-никакой - и такой факап.

Ответить
Развернуть ветку
Илья Осипов

так и хакеры тоже полноценные, а не скрипт-кидди :)

Ответить
Развернуть ветку
Юрий Другач

Мы как раз проводим подобные учебные атаки на организации. ИТ специалисты запускают макросы и заполняют фишинговые формы не реже бухгалтеров. 40-60% стандартный процент попадаемости.
Проблема возникает по двум причинам:
1) "Я всё знаю и не попадусь"
2) "В нашей организации сильная защита и можно не бояться".

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Мимопрохожий

я хз кто сидит. Но базу Яндекс.еды упер кто-то из сотрудников же? это не вирус.

Ответить
Развернуть ветку
Sergey

А на маке такое возможно?

Ответить
Развернуть ветку
Alex Ayer

Видимо, нет

Ответить
Развернуть ветку
DN

Зря вы так думаете))

Ответить
Развернуть ветку
Alex Ayer

Можете пояснить пожалуйста? Я действительно не в теме

Ответить
Развернуть ветку
DN
Ответить
Развернуть ветку
Alex Ayer

Спасибо

Ответить
Развернуть ветку
Алексей Терно

И не только в компьютере

Ответить
Развернуть ветку
A. P.

Зачем запенить? Можно открывать в гугл-доках. Если вирус и запустится, то у них на сервере ;Р

Ответить
Развернуть ветку
Илья Осипов

чтобы даже при желании ничего не воткнуть в него, ни проводов, ни флешек :) в комментарии же говорилось стремление к безопасности, а если в устройство что-то втыкают — безопасности от мимохакеров никакой не будет :)

ну а гуглодок помимо их сервера ещё у вас в браузере и раз в столетие и гугл ломают и находят эксплоиты ;)

Ответить
Развернуть ветку
93 комментария
Раскрывать всегда